Il Politecnico di Milano, in una recente simulazione, ha dimostrato che infettare robots e prodotti aziendali é possibile. Il manifatturiero rimane il settore più bersagliato da attacchi cyber. Come possiamo proteggere macchinari, prodotti e informazioni sensibili da un improvviso attacco? E in caso di estorsione, quali soluzioni offre il mercato assicurativo?
Chissà cosa avrebbe detto Asimov vedendo le creature più amate dei suoi romanzi, i robots, usati come cavie di un esperimento perfettamente riuscito. La fantascienza bussa ormai alle porte delle imprese, e se ne sono accorti anche al Politecnico di Milano.
Sabotare un robot industriale: obbiettivo raggiunto.
Il test risale all’anno scorso e consisteva nell’infettare e mettere a repentaglio il funzionamento di un braccio meccanico preposto alla lavorazione di alta precisione nei seguenti settori: Automotive, manufacturing, food processing, packaging, pharmaceuticals.
I 5 tentativi del test andarono tutti a buon fine. Per dimostrare quanto i robots industriali siano vulnerabili, i tecnici, ad esempio, inserirono una chiavetta usb all’interno del pc di controllo: ciò fu sufficiente per alterarne completamente il funzionamento. Gli ingegneri, nel corso di un altro test, decisero poi di penetrare nel sistema di controllo da internet: per loro fu un vero e proprio gioco da ragazzi.
Possiamo facilmente immaginare, nelle lavorazioni di alta precisione, quali possano essere le conseguenze di una manomissione di questo tipo: un prodotto destinato al settore dell’automotive, una volta sabotato, sarebbe completamente inservibile e costringerebbe l’azienda a rispondere di gravissimi danni ai consumatori (senza contare le spese per affrontare costosissime campagne di richiamo).
Lo stesso Politecnico di Milano, al termine del test di cui sopra, ha elencati 5 principali rischi a cui le aziende manifatturiere vanno incontro, quali:
1. messa in commercio di prodotto difettoso e inservibile,
2. richiesta di estorsione per il ripristino del ciclo produttivo infettato,
3. danni al prodotto durante le fasi di lavorazione,
4. furto di dati sensibili presenti all’interno del device infettato,
5. danni fisici all’operatore.
L’accattivante ricostruzione grafica di un sabotaggio di robot ad uso industriale. Fonte: Trend Micro.
PMI: il bersaglio preferito degli hackers.
Credere che siano solo aziende pubbliche, ospedaliere, multi-utilities o le corporates internazionali a rischio cyber è un grosso errore. Prima ancora che il virus Wannacry, nel 2017, fecesse il giro del mondo, seminando panico in decine e decine di multinazionali, le piccole-medie aziende erano già il target preferito di attacchi informatici.
Lo vediamo in questa tabella pubblicata da Symantec, nel 2016.
Un altro dato molto sorprendente emerge dalla recente indagine condotta dalla Commissione Europea su 4000 aziende di 25 paesi: infettate da un virus, le aziende in Europa impiegano, rispetto al resto del mondo, il triplo del tempo per scoprire l’intrusione e limitare i danni.
Cyber security: in caso di sabotaggio, quali assicurazioni coprono i nostri robots e prodotti?
Le aziende, in caso di attacco informatico ad un robot, possono subire in primis gravi danni alle apparecchiature elettroniche. Sebbene il danno patito dalla macchina non sia tra quelli elencati qui sopra, le spese per il ripristino del regolare funzionamento del robot infettato possono per l’imprenditore rappresentare un’ingente spesa. Ebbene, si consiglia di verificare se i macchinari sono assicurati contro questo rischio dalla Polizza Elettronica.
Con riferimento al punto 1. di cui sopra (messa in commercio di prodotto difettoso e inservibile), si suggerisce di verificare i massimali della polizza RC prodotto aziendale. La vendita di un prodotto difettoso -pensiamo alla produzione di componentistica per l’utilizzo in sicurezza di un drone– costituisce un rischio sia per chi vende sia per chi compra ed installa il nostro prodotto all’interno del proprio, per poi rivenderlo sul mercato. Le conseguenze finanziarie in materia di richiamo del prodotto e danni a terzi possono essere molto serie.
Con riguardo al punto 2., i danni economici da estorsione sono assicurati dalla Polizza Cyber. I testi di polizza, nella maggior parte inglesi, fanno specifico riferimento a virus o malware in grado di modificare, alterare, distruggere, cancellare, contaminare l’integrità, la qualità o le performance di dati, applicazioni, sistemi operativi informatici e softwares per applicazioni industriali.
Per quanto riguarda il punto 3., la manomissione e compromissione delle caratteristiche tecniche, d’uso e commercializzazione del prodotto, possono trovare copertura, anche in questo caso, dalla Polizza Cyber.
Il furto di dati sensibili (segreti industriali) presenti all’interno del device infettato, di cui al punto 4., sono anch’essi assicurati dalla Polizza Cyber. Tuttavia, si suggerisce di verificare se, all’interno della nostra polizza, é prevista la garanzia “Data Asset Loss”.
Per concludere, I danni fisici all’operatore (punto 5) nella maggior parte dei casi non sono assicurati dalla Cyber Insurance. Alcuni testi di polizza escludono espressamente le lesioni fisiche subite da un lavoratore a causa di un improvvisa manomissione di un robot. In caso di infortunio sul lavoro, é necessario fare riferimento ad un’altra specifica assicurazione contro questo rischio.
Cyber security: come fare prevenzione?
Per capirci, facciamo un piccolo esempio. Immaginiamo di trovarci di fronte alla porta di ingresso di casa nostra: in caso di scasso e furto dei nostri beni, paga l’Assicurazione Furto. Tuttavia, nessuna assicurazione puó indennizzarci se non ci sono evidenti segni di infrazione. Ebbene, anche l’Assicurazione Cyber funziona in modo simile. Fare prevenzione é di fondamentale importanza se vogliamo farci assicurare dal rischio cyber.
La Cyber security é il processo che consente la protezione delle informazioni attraverso attività di prevenzione, rilevazione e risposta ad attacchi provenienti dal Cyberspazio. Non é una soluzione tecnologica ma un processo in cui l’azienda individua attività, ruoli, responsabilità, approcci, metodologie per limitare i danni da intrusione informatica.
Nel caso test del Politecnico, di cui sopra, immaginiamo la malaugurata ipotesi in cui un dipendente infedele abbia accesso al sistema informatico e manometta di sua volontà la produzione di un importante componente destinato al settore dell’automotive o aviation.
Ebbene, l’attività di penetration test può, in questo caso, non bastare: mettere sotto stress il sistema informatico da un attacco esterno è un’ottimo esercizio di prevenzione.
Tuttavia, se vogliamo metterci al riparo da un attacco proveniente dall’interno dell’azienda, investigazione, intelligence e monitoraggio delle risorse umane sono attività indispensabili che di quel continuo processo di nome cyber security costituiscono l’ossatura.
Pertanto, affidare la sicurezza della propria azienda a società specializzate in questi settori sicuramente rappresenta un’ottima strategia per minimizzare i rischi e aumentare le difese del proprio business.